Many udp ports open in bind 9.5.1
elizabetazadro at gmail.com
elizabetazadro at gmail.com
Fri Feb 13 19:47:22 UTC 2009
On 13 fév, 20:15, "Mike Bernhardt" <bernha... at bart.gov> wrote:
> What you=92re seeing is ports your server has opened for queries. Then it
> holds the port open while waiting for a reply and for some time after that.
> For example, FROM ls1.tel.net.ba:29825=A0TO 203.64.139.9:domain. By design,=
> if
> someone does a lot of queries to crackerjack.net, your server is going to
> source the queries from a different port each time.
>
> If you are having a problem with crackerjack.net, I don't think it's a BIND
> problem, it's a personnel management or desktop problem.
>
> ________________________________________
> From: Elizabeta Zadro [mailto:elizabeta.za... at tel.net.ba] =
>
> Sent: Friday, February 13, 2009 10:32 AM
> To: bind-us... at lists.isc.org
> Subject: Many udp ports open in bind 9.5.1
>
> Before I had bind-9.5.0-P2 and now I upgrade to bind-9.5.1. I readed that in
> bind-9.5.1 is=A0 additional support for query port randomization
> including performance improvement and port range specification.
>
> But is this ok?
>
> netstat
>
> udp=A0=A0=A0=A0=A0=A0=A0 0=A0=A0=A0=A0=A0 0 ls1.tel.net.ba:29825=A0=A0=A0=
> =A0=A0=A0=A0 203.64.139.9:domain=A0=A0=A0=A0=A0=A0=A0=A0
> ESTABLISHED
> udp=A0=A0=A0=A0=A0=A0=A0 0=A0=A0=A0=A0=A0 0 ls1.tel.net.ba:24836=A0=A0=A0=
> =A0=A0=A0=A0 static.213-133-1:domain=A0=A0=A0=A0
> ESTABLISHED
> udp=A0=A0=A0=A0=A0=A0=A0 0=A0=A0=A0=A0=A0 0 ls1.tel.net.ba:21124=A0=A0=A0=
> =A0=A0=A0=A0 alius.crackerjac:domain=A0=A0=A0=A0
> ESTABLISHED
> udp=A0=A0=A0=A0=A0=A0=A0 0=A0=A0=A0=A0=A0 0 ls1.tel.net.ba:60933=A0=A0=A0=
> =A0=A0=A0=A0 crackerjack.net:domain=A0=A0=A0=A0=A0
> ESTABLISHED
> udp=A0=A0=A0=A0=A0=A0=A0 0=A0=A0=A0=A0=A0 0 ls1.tel.net.ba:50446=A0=A0=A0=
> =A0=A0=A0=A0 ns1.dynadot.com:domain=A0=A0=A0=A0=A0
> ESTABLISHED
> udp=A0=A0=A0=A0=A0=A0=A0 0=A0=A0=A0=A0=A0 0 ls1.tel.net.ba:61075=A0=A0=A0=
> =A0=A0=A0=A0 alius.crackerjac:domain=A0=A0=A0=A0
> ESTABLISHED
> udp=A0=A0=A0=A0=A0=A0=A0 0=A0=A0=A0=A0=A0 0 ls1.tel.net.ba:21915=A0=A0=A0=
> =A0=A0=A0=A0 firewall.camping:domain=A0=A0=A0=A0
> ESTABLISHED
> udp=A0=A0=A0=A0=A0=A0=A0 0=A0=A0=A0=A0=A0 0 ls1.tel.net.ba:18076=A0=A0=A0=
> =A0=A0=A0=A0 crackerjack.net:domain=A0=A0=A0=A0=A0
> ESTABLISHED
> udp=A0=A0=A0=A0=A0=A0=A0 0=A0=A0=A0=A0=A0 0 ls1.tel.net.ba:31142=A0=A0=A0=
> =A0=A0=A0=A0 crackerjack.net:domain=A0=A0=A0=A0=A0
> ESTABLISHED
> udp=A0=A0=A0=A0=A0=A0=A0 0=A0=A0=A0=A0=A0 0 ls1.tel.net.ba:6311=A0=A0=A0=A0=
> =A0=A0=A0=A0 208.66.192.102:domain=A0=A0=A0=A0=A0=A0
> ESTABLISHED
> udp=A0=A0=A0=A0=A0=A0=A0 0=A0=A0=A0=A0=A0 0 ls1.tel.net.ba:3369=A0=A0=A0=A0=
> =A0=A0=A0=A0 crackerjack.net:domain=A0=A0=A0=A0=A0
> ESTABLISHED
> udp=A0=A0=A0=A0=A0=A0 =A00=A0=A0=A0=A0=A0 0 ls1.tel.net.ba:36017=A0=A0=A0=
> =A0=A0=A0=A0 crackerjack.net:domain=A0=A0=A0=A0=A0
> ESTABLISHED
> udp=A0=A0=A0=A0=A0=A0=A0 0=A0=A0=A0=A0=A0 0 ls1.tel.net.ba:40502=A0=A0=A0=
> =A0=A0=A0=A0 crackerjack.net:domain=A0=A0=A0=A0=A0
> ESTABLISHED
> udp=A0=A0=A0=A0=A0=A0=A0 0=A0=A0=A0=A0=A0 0 ls1.tel.net.ba:17719=A0=A0=A0=
> =A0=A0=A0=A0 alius.crackerjac:domain=A0=A0=A0=A0
> ESTABLISHED
> udp=A0=A0=A0=A0=A0=A0=A0 0=A0=A0=A0=A0=A0 0 ls1.tel.net.ba:37307=A0=A0=A0=
> =A0=A0=A0=A0 189.40.238.6:domain=A0=A0=A0=A0=A0=A0=A0=A0
> ESTABLISHED
> udp=A0=A0=A0=A0=A0=A0=A0 0=A0=A0=A0=A0=A0 0 ls1.tel.net.ba:46274=A0=A0=A0=
> =A0=A0=A0=A0 alius.crackerjac:domain=A0=A0=A0=A0
> ESTABLISHED
> udp=A0=A0=A0=A0=A0=A0=A0 0=A0=A0=A0=A0=A0 0 ls1.tel.net.ba:11719=A0=A0=A0=
> =A0=A0=A0=A0 ns2.suspended-fo:domain=A0=A0=A0=A0
> ESTABLISHED
> udp=A0=A0=A0=A0=A0=A0=A0 0=A0=A0=A0=A0=A0 0 ls1.tel.net.ba:51400=A0=A0=A0=
> =A0=A0=A0=A0 ns2.suspended-fo:domain=A0=A0=A0=A0
> ESTABLISHED
> udp=A0=A0=A0=A0=A0=A0=A0 0=A0=A0=A0=A0=A0 0 ls1.tel.net.ba:34386=A0=A0=A0=
> =A0=A0=A0=A0 alius.crackerjac:domain=A0=A0=A0=A0
> ESTABLISHED
> udp=A0=A0=A0=A0=A0=A0=A0 0=A0=A0=A0=A0=A0 0 ls1.tel.net.ba:32600=A0=A0=A0=
> =A0=A0=A0=A0 crackerjack.net:domain=A0=A0=A0
> =A0=A0ESTABLISHED
> udp=A0=A0=A0=A0=A0=A0=A0 0=A0=A0=A0=A0=A0 0 ls1.tel.net.ba:20732=A0=A0=A0=
> =A0=A0=A0=A0 crackerjack.net:domain=A0=A0=A0=A0=A0
> ESTABLISHED
> udp=A0=A0=A0=A0=A0=A0=A0 0=A0=A0=A0=A0=A0 0 ls1.tel.net.ba:61023=A0=A0=A0=
> =A0=A0=A0=A0 bod40.i0waterfor:domain=A0=A0=A0=A0
> ESTABLISHED
> udp=A0=A0=A0=A0=A0=A0=A0 0=A0=A0=A0=A0=A0 0 ls1.tel.net.ba:60767=A0=A0=A0=
> =A0=A0=A0=A0 crackerjack.net:domain=A0=A0=A0=A0=A0
> ESTABLISHED
> udp=A0=A0=A0=A0=A0=A0=A0 0=A0=A0=A0=A0=A0 0 ls1.tel.net.ba:9450=A0=A0=A0=A0=
> =A0=A0=A0=A0 crackerjack.net:domain=A0=A0=A0=A0=A0
> ESTABLISHED
> udp=A0=A0=A0=A0=A0=A0=A0 0=A0=A0=A0=A0=A0 0 ls1.tel.net.ba:28270=A0=A0=A0=
> =A0=A0=A0=A0 43.72.84ae.stati:domain=A0=A0=A0=A0
> ESTABLISHED
> udp=A0=A0=A0=A0=A0=A0=A0 0=A0=A0=A0=A0=A0 0 ls1.tel.net.ba:43630=A0=A0=A0=
> =A0=A0=A0=A0 alius.crackerjac:domain=A0=A0=A0=A0
> ESTABLISHED
> udp=A0=A0=A0=A0=A0=A0=A0 0=A0=A0=A0=A0=A0 0 ls1.tel.net.ba:39417=A0=A0=A0=
> =A0=A0=A0=A0 alius.crackerjac:domain=A0=A0=A0=A0
> ESTABLISHED
> udp=A0=A0=A0=A0=A0=A0=A0 0=A0=A0=A0=A0=A0 0 ls1.tel.net.ba:24569=A0=A0=A0=
> =A0=A0=A0=A0 crackerjack.net:domain=A0=A0=A0=A0=A0
> ESTABLISHED
> udp=A0=A0=A0=A0=A0=A0=A0 0=A0=A0=A0=A0=A0 0 ls1.tel.net.ba:24569=A0=A0=A0=
> =A0=A0=A0=A0 crackerjack.net:domain=A0=A0=A0=A0=A0
> ESTABLISHED
> Active UNIX domain sockets (w/o servers)
>
> netstat after 5 min.
>
> udp=A0=A0=A0=A0=A0=A0=A0 0=A0=A0=A0=A0=A0 0 ls1.tel.net.ba:16525=A0=A0=A0=
> =A0=A0=A0=A0 202.153.32.6:domain=A0=A0=A0=A0=A0=A0=A0=A0
> ESTABLISHED
> udp=A0=A0=A0=A0=A0 =A0=A00=A0=A0=A0=A0=A0 0 ls1.tel.net.ba:8975=A0=A0=A0=A0=
> =A0=A0=A0=A0 a.gtld-servers.net:domain=A0=A0
> ESTABLISHED
> udp=A0=A0=A0=A0=A0=A0=A0 0=A0=A0=A0=A0=A0 0 ls1.tel.net.ba:50959=A0=A0=A0=
> =A0=A0=A0=A0 60.217.239.181:domain=A0=A0=A0=A0=A0=A0
> ESTABLISHED
> udp=A0=A0=A0=A0=A0=A0=A0 0=A0=A0=A0=A0=A0 0 ls1.tel.net.ba:61714=A0=A0=A0=
> =A0=A0=A0=A0 208.72.175.3:domain=A0=A0=A0=A0=A0=A0=A0=A0
> ESTABLISHED
> udp=A0=A0=A0=A0=A0=A0=A0 0=A0=A0=A0=A0=A0 0 ls1.tel.net.ba:37656=A0=A0=A0=
> =A0=A0=A0=A0 66.232.104.156:domain=A0=A0=A0=A0=A0=A0
> ESTABLISHED
> udp=A0=A0=A0=A0=A0=A0=A0 0=A0=A0=A0=A0=A0 0 ls1.tel.net.ba:39455=A0=A0=A0=
> =A0=A0=A0=A0 79.135.181.219:domain=A0=A0=A0=A0=A0=A0
> ESTABLISHED
> udp=A0=A0=A0=A0=A0=A0=A0 0=A0=A0=A0=A0=A0 0 ls1.tel.net.ba:60193=A0=A0=A0=
> =A0=A0=A0=A0 64.38.223.8:domain=A0=A0=A0=A0=A0=A0=A0=A0=A0
> ESTABLISHED
> udp=A0=A0=A0=A0=A0=A0=A0 0=A0=A0=A0=A0=A0 0 ls1.tel.net.ba:21540=A0=A0=A0=
> =A0=A0=A0=A0 alius.crackerjac:domain=A0=A0=A0=A0
> ESTABLISHED
> udp=A0=A0=A0=A0=A0=A0=A0 0=A0=A0=A0=A0=A0 0 ls1.tel.net.ba:19494=A0=A0=A0=
> =A0=A0=A0=A0 crackerjack.net:domain=A0=A0=A0=A0=A0
> ESTABLISHED
> udp=A0=A0=A0=A0=A0=A0=A0 0=A0=A0=A0=A0=A0 0 ls1.tel.net.ba:25266=A0=A0=A0=
> =A0=A0=A0=A0 crackerjack.net:domain=A0=A0
> =A0=A0=A0ESTABLISHED
> udp=A0=A0=A0=A0=A0=A0=A0 0=A0=A0=A0=A0=A0 0 ls1.tel.net.ba:50355=A0=A0=A0=
> =A0=A0=A0=A0 crackerjack.net:domain=A0=A0=A0=A0=A0
> ESTABLISHED
> udp=A0=A0=A0=A0=A0=A0=A0 0=A0=A0=A0=A0=A0 0 ls1.tel.net.ba:20923=A0=A0=A0=
> =A0=A0=A0=A0 a.gtld-servers.net:domain=A0=A0
> ESTABLISHED
> udp=A0=A0=A0=A0=A0=A0=A0 0=A0=A0=A0=A0=A0 0 ls1.tel.net.ba:58044=A0=A0=A0=
> =A0=A0=A0=A0 ns.kuins.kyoto-u:domain=A0=A0=A0=A0
> ESTABLISHED
> udp=A0=A0=A0=A0=A0=A0=A0 0=A0=A0=A0=A0=A0 0 ls1.tel.net.ba:16575=A0=A0=A0=
> =A0=A0=A0=A0 crackerjack.net:domain=A0=A0=A0=A0=A0
> ESTABLISHED
> udp=A0=A0=A0=A0=A0=A0=A0 0=A0=A0=A0=A0=A0 0 ls1.tel.net.ba:45376=A0=A0=A0=
> =A0=A0=A0=A0 crackerjack.net:domain=A0=A0=A0=A0=A0
> ESTABLISHED
> udp=A0=A0=A0=A0=A0=A0=A0 0=A0=A0=A0=A0=A0 0 ls1.tel.net.ba:34372=A0=A0=A0=
> =A0=A0=A0=A0 ns1.tahoe.everyd:domain=A0=A0=A0=A0
> ESTABLISHED
> udp=A0=A0=A0=A0=A0=A0=A0 0=A0=A0=A0=A0=A0 0 ls1.tel.net.ba:65489=A0=A0=A0=
> =A0=A0=A0=A0 170.185.16.2:domain=A0=A0=A0=A0=A0=A0=A0=A0
> ESTABLISHED
> udp=A0=A0=A0=A0=A0=A0=A0 0=A0=A0=A0=A0=A0 0 ls1.tel.net.ba:7506=A0=A0=A0=A0=
> =A0=A0=A0=A0 12.154.116.35:domain=A0=A0=A0=A0=A0=A0=A0
> ESTABLISHED
> udp=A0=A0=A0=A0=A0=A0=A0 0=A0=A0=A0=A0=A0 0 ls1.tel.net.ba:56658=A0=A0=A0=
> =A0=A0=A0=A0 crackerjack.net:domain=A0=A0=A0=A0=A0
> ESTABLISHED
> udp=A0=A0=A0=A0=A0=A0=A0 0=A0=A0=A0=A0=A0 0 ls1.tel.net.ba:45396=A0=A0=A0=
> =A0=A0=A0=A0 ns2.suspended-fo:domain=A0=A0=A0=A0
> ESTABLISHED
> udp=A0=A0=A0=A0=A0=A0=A0 0=A0=A0=A0=A0=A0 0 ls1.tel.net.ba:50905=A0=A0=A0=
> =A0=A0=A0=A0 a.gtld-servers.net:domain=A0=A0
> ESTABLISHED
> udp=A0=A0=A0=A0=A0=A0=A0 0=A0=A0=A0=A0=A0 0 ls1.tel.net.ba:3673=A0=A0=A0=A0=
> =A0=A0=A0=A0 bod41.i0waterfor:domain=A0=A0=A0=A0
> ESTABLISHED
> udp=A0=A0=A0=A0=A0=A0=A0 0=A0=A0=A0=A0=A0 0 ls1.tel.net.ba:31833=A0=A0=A0=
> =A0=A0=A0=A0 64.38.223.8:domain=A0=A0=A0=A0=A0=A0=A0=A0=A0
> ESTABLISHED
> udp=A0=A0=A0=A0=A0=A0=A0 0=A0=A0=A0=A0=A0 0 ls1.tel.net.ba:11872=A0=A0=A0=
> =A0=A0=A0=A0 crackerjack.net:domain=A0=A0=A0=A0=A0
> ESTABLISHED
> udp=A0=A0=A0=A0=A0=A0=A0 0=A0=A0=A0=A0=A0 0 ls1.tel.net.ba:65519=A0=A0=A0=
> =A0=A0=A0=A0 alius.crackerjac:domain=A0=A0=A0=A0
> ESTABLISHED
> udp=A0=A0=A0=A0=A0=A0=A0 0=A0=A0=A0=A0=A0 0 ls1.tel.net.ba:18549=A0=A0=A0=
> =A0=A0=A0=A0 ns1.crsnic.net:domain=A0=A0=A0=A0=A0=A0
> ESTABLISHED
> udp=A0=A0=A0=A0=A0=A0=A0 0=A0=A0=A0=A0=A0 0 ls1.tel.net.ba:28023=A0=A0=A0=
> =A0=A0=A0=A0 114-32-136-127.H:domain
> =A0=A0=A0=A0ESTABLISHED
> udp=A0=A0=A0=A0=A0=A0=A0 0=A0=A0=A0=A0=A0 0 ls1.tel.net.ba:12921=A0=A0=A0=
> =A0=A0=A0=A0 79.135.181.219:domain=A0=A0=A0=A0=A0=A0
> ESTABLISHED
>
> As you can see, the ports are changing, but there is always crackerjack.net
> every time on differnet ports? Can I simply put this user in IP tables?
> In previously version bind-9.5.0-P2 there was not at all ESTABLISHED socket
> from foreign users. =
>
> Otherwise, My network and configuration is the same like before upgrade.
> Only when I upgreded to bind 9.5.1., there are now many udp socket. Is this
> characteristical behaviour for bind.9.5.1?
>
> I'm going towww.isc.orgbut I can't find this answers? Please can you
> answer of my question?
>
> Thanks in advance!
>
> Elysabeth
>
> _______________________________________________
> bind-users mailing list
> bind-us... at lists.isc.orghttps://lists.isc.org/mailman/listinfo/bind-users
Ok, it is not problem bind-9.5.1, but before upgrade I had bind9.5.0-
P2 in which there was no established udp socket from foreign users.
Otherwise, How can I take down this user (crackerjack.net) which is
all the time established ?
I put him in IP tables but it seems to be same state.
Help!
Elysabeth
More information about the bind-users
mailing list